先週、Progress Software は、MOVEit Transfer 製品および関連する MOVEit クラウド ソリューションに重大なセキュリティ脆弱性 (CVE-2023-34362) を報告しました。 APTグループCLOPも14.06月XNUMX日まで最後通告を出し、世界中でよく使われているソフトウェアに対して大量攻撃とデータ窃取を行った。
名前が示すように、MOVEit Transfer は、チーム、部門、会社、さらにはサプライ チェーン全体でファイルを簡単に保存および共有できるシステムです。 このソフトウェアは、AOK によっても使用されます。たとえば、。 今回のケースでは、Web ブラウザ経由でファイルの共有と管理を可能にする MOVEit の Web ベースのフロントエンドに SQL インジェクションの脆弱性があることが判明しました。 このタイプのファイル共有は、電子メール共有よりもファイルの宛先を間違えたり「紛失」したりする可能性が低いと一般に考えられているため、非常に人気があります。
良いニュースと悪いニュース
この場合の良いニュースは、Progress がこの脆弱性を認識するとすぐに、サポートされているすべての MOVEit バージョンとクラウドベースのサービスにパッチを適用したことです。 クラウド バージョンを使用しているお客様は自動的に最新の状態になりますが、独自のネットワーク上で実行されているバージョンには積極的にパッチを適用する必要があります。 MOVEit の顧客は、パッチのインストールに加えて侵害スキャンを実行する必要があります。 パッチを適用するだけでは十分ではありません。
悪いニュースは、この脆弱性はゼロデイ脆弱性であったということです。つまり、サイバー犯罪者がすでに悪用していたために、Progress がこの脆弱性を発見したということです。 つまり、パッチがリリースされる前に、MOVEit SQL バックエンド データベースに不正なコマンドがすでに挿入されている可能性があり、次のようなさまざまな影響が生じる可能性があります。
- 既存のデータの削除: SQL インジェクション攻撃の典型的な結果は、大規模なデータ破壊です。
- 既存のデータの漏洩: 攻撃者は SQL テーブルを削除する代わりに、独自のクエリを挿入することで、内部データベースの構造を学習するだけでなく、重要な部分を抽出して盗む可能性があります。
- 既存のデータの変更: 攻撃者はデータを盗むのではなく、データを破損または破壊することを選択する可能性があります。
- マルウェアを含む新しいファイルの埋め込み: 攻撃者は SQL コマンドを挿入し、それによって外部システム コマンドが起動され、ネットワーク内で任意のリモート コードが実行される可能性があります。
Microsoft が悪名高い CLOP ランサムウェア ギャングである (または関連している) と考えている攻撃者のグループは、明らかにすでにこの脆弱性を悪用して、影響を受けるサーバーにいわゆる Web シェルを挿入しているようです。
セキュリティを強化するにはどうすればよいでしょうか?
- MOVEit ユーザーの場合は、ネットワーク上のソフトウェアのすべてのインスタンスにパッチが適用されていることを確認してください。
- 現時点でパッチを適用できない場合は、できるまで MOVEit サーバーへの Web ベース (HTTP および HTTPS) インターフェイスをオフにしてください。 どうやら、この脆弱性は MOVEit の Web インターフェイス経由でのみ明らかになり、SFTP などの他のアクセス パス経由では明らかになりません。
- 新しく追加された Web サーバー ファイル、新しく作成されたユーザー アカウント、および予期しない大規模なデータのダウンロードがないかログを確認してください。 Progress には、検索する場所のリストと、ファイル名および検索する場所が含まれています。
- あなたがプログラマーの場合は、入力をクリーンアップしてください。
- SQL プログラマの場合は、クエリの送信者が制御する文字を含むクエリ コマンドを生成する代わりに、パラメータ化されたクエリを使用してください。
これまでに調査したほとんどではないにしても、多くの Web シェル ベースの攻撃で、human2.aspx という名前の不正な Web シェル ファイルが検出される可能性が高く、拡張子が .cmdline の新しく作成された悪意のあるファイルが検出される可能性があると Progress は疑っています。 ソフォス製品は、human2.aspx という名前かどうかに関係なく、Troj/WebShel-GO として知られる Web シェル ファイルを検出し、ブロックします。
ただし、パッチがリリースされるゼロデイ前に他の攻撃者がこのことを知っていた場合、別のより巧妙なコマンドを挿入した可能性があることを覚えておくことが重要です。 これらは、単に残留マルウェアをスキャンしたり、ログに表示される既知のファイル名を検索したりするだけでは検出できない場合があります。
カウントダウンは 14.06.2023 年 XNUMX 月 XNUMX 日まで実行されます
死 CLOPグループはAPTグループの攻撃を受けたすべての企業に最後通告を出した: 企業は特定の電子メール アドレスに電子メールで報告する必要があります。 その後、チャット ルームへのリンクが記載されたメールが届きます。 そこで彼らは身代金要求について交渉する必要があります。 これに従わない者は CLOP によって辱めを受けることになります。言い換えれば、会社名が最初に公表されることになります。 その後、圧力を高めるために収集したデータの一部も公開したいと考えています。
詳細は Sophos.com をご覧ください
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。